Zdrowie-ISAC Hacking Opieka zdrowotna 5-9-2024

W tym tygodniu Hacking Healthcare™ skupia się na nowych wydarzeniach związanych z ryzykiem, bezpieczeństwem i ochroną AI. W szczególności omawiamy utworzenie nowego Departamentu Bezpieczeństwa Krajowego (DHS) Rada ds. Bezpieczeństwa Sztucznej Inteligencji a następnie przejrzyj nowe wytyczne DHS Wytyczne dotyczące bezpieczeństwa i ochrony dla właścicieli i operatorów infrastruktury krytycznej.

Przypominamy, że jest to publiczna wersja bloga Hacking Healthcare. Aby uzyskać bardziej dogłębną analizę i opinię, zostań członkiem H-ISAC i otrzymaj wersję TLP Amber tego bloga (dostępną w Portalu Członków).

Witamy ponownie w Hacking Healthcare™.

Zdrowie-ISAC Americas Hobby Ćwiczenia 2024

Health-ISAC ponownie przyspiesza przygotowania do naszego corocznego Americas Hobby Exercise! Dla nowych członków Health-ISAC Hobby Exercise to coroczne wydarzenie Healthcare and Public Health (HPH) mające na celu zaangażowanie sektora opieki zdrowotnej i partnerów strategicznych w poważne wyzwania związane z bezpieczeństwem i odpornością. Nadrzędnym celem jest informowanie i zapewnianie możliwości ciągłego doskonalenia organizacyjnego przy jednoczesnym zwiększaniu odporności sektora opieki zdrowotnej.

Poniższy link do raportu z ubiegłorocznej edycji wydarzenia Hobby Exercise After Action zapewnia dobry przegląd rodzajów interakcji i wartości, jakich można oczekiwać od tegorocznego wydarzenia:

https://h-isac.org/hobby-exercise-2023-after-action-report/

Tegoroczne ćwiczenia odbędą się 6 czerwca w biurze Venable LLP w Waszyngtonie. Zachęcamy członków do zarejestrowania swojego zainteresowania udziałem pod poniższym linkiem:

https://portal.h-isac.org/s/community-event?id=a1Y7V00000ZmFVwUAN

Memorandum bezpieczeństwa narodowego nr 22 zmienia podejście USA do infrastruktury krytycznej

30 kwietnia administracja Bidena opublikowała Memorandum dotyczące bezpieczeństwa narodowego nr 22 (NSM-22): w sprawie bezpieczeństwa i odporności infrastruktury krytycznej.^[I] Niniejsze memorandum stanowi najnowszą rewizję w serii memorandów wykonawczych, które miały na celu zdefiniowanie, co stanowi amerykańską infrastrukturę krytyczną i nakreślenie, w jaki sposób rząd ma poprawić bezpieczeństwo i odporność tej infrastruktury krytycznej. Jak można się spodziewać, NSM-22 będzie mieć bezpośredni i pośredni wpływ na sektor opieki zdrowotnej i zdrowia publicznego (HPH).

Czym jest NSM-22 i co zastępuje? 

Od 2013 r. rząd federalny Stanów Zjednoczonych traktował Presidential Policy Directive 21 (PPD-21) jako stałe wytyczne dotyczące tego, co stanowi krytyczną infrastrukturę w Stanach Zjednoczonych, w jaki sposób rząd Stanów Zjednoczonych powinien zabezpieczyć tę infrastrukturę, a także określające przewidywaną rolę sektora prywatnego. Chociaż to memorandum wykonawcze nie ma mocy prawnej, nigdy nie zostało uchylone ani zastąpione aż do zeszłego tygodnia.

Aktualizacja ta została wprowadzona w życie wraz z uchwaleniem ustawy HR6395, William M. (Mac) Thornberry National Defense Authorization Act na rok fiskalny 2021, która wymagała od sekretarza DHS, aby w porozumieniu z szefami agencji zarządzania ryzykiem sektorowym (SRMA), „przejrzał obecne ramy zabezpieczania krytycznej infrastruktury…” i przedstawił raport dotyczący możliwych zmian.^[ii] Treść raportu została podpisana przez prezydenta Bidena i prace nad tym, co miało stać się NSM-22.

Spis treści NSM-22

Dokument NSM-35, liczący około 22 stron, zawiera następujące informacje na temat „rozwoju jedności [Stanów Zjednoczonych] w wysiłkach na rzecz wzmocnienia i utrzymania bezpiecznej, funkcjonalnej i odpornej infrastruktury krytycznej”:^[iii]

• Osiem zasad polityki:
• Osiem celów;
• Wyjaśnienie ról i obowiązków departamentów i agencji federalnych;
• Promocja zarządzania ryzykiem oraz podejścia do bezpieczeństwa i odporności, uwzględniającego wszystkie zagrożenia/niebezpieczeństwa;
• Wprowadzenie minimalnych wymogów bezpieczeństwa i odporności dla sektorów infrastruktury krytycznej;
• Kierowanie krajowym planem zarządzania ryzykiem infrastrukturalnym;
• Ponowne powołanie podmiotów o znaczeniu systemowym (SIE);
• Wzmocnienie wymiany informacji wywiadowczych;
• Ponowne podanie definicji infrastruktury krytycznej, wyznaczonych sektorów infrastruktury krytycznej i odpowiedzialnych SRMA;
• Plan wdrożenia dla jednostek federalnych mający na celu realizację założeń opisanych powyżej.

Akcja i analiza
**Wliczone w cenę członkostwa Health-ISAC**

Nadchodzące międzynarodowe przesłuchania/spotkania

• EU
  1. W tej chwili nie ma żadnych istotnych spotkań
• US
  1. W tej chwili nie ma żadnych istotnych spotkań
• Reszta świata
  1. W tej chwili nie ma żadnych istotnych spotkań

^[I]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[ii] https://www.congress.gov/bill/116th-congress/house-bill/6395

^[iii]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[iv] Dyrektywa decyzyjna Prezydenta/NSC-63

^[v] Prezydencka dyrektywa w sprawie polityki 21

^[VI], „Systemy i aktywa, fizyczne lub wirtualne, tak ważne dla Stanów Zjednoczonych, że ich niezdolność do działania lub zniszczenie miałoby wyniszczający wpływ na bezpieczeństwo narodowe, bezpieczeństwo gospodarcze kraju, zdrowie publiczne lub bezpieczeństwo narodowe lub dowolną kombinację tych kwestii”.

^[VII]https://www.washingtonpost.com/politics/2023/10/16/biden-administration-goes-back-drawing-board-water-cybersecurity/

^[viii]https://www.cisa.gov/cross-sector-cybersecurity-performance-goals#:~:text=A%20common%20set%20of%20protections,known%20risks%20and%20adversary%20techniques

^[IX] https://hphcyber.hhs.gov/performance-goals.html

^[X]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[xi]https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

^[XII] https://www.whitehouse.gov/briefing-room/presidential-actions/2024/04/30/national-security-memorandum-on-critical-infrastructure-security-and-resilience/

• Powiązane zasoby i wiadomości
• Zdrowie-ISAC Hacking Opieka zdrowotna 5-11-2026
• Podręcznik CISO, tom 2 – Luka w zabezpieczeniach tokena 0Auth, która spowodowała naruszenie bezpieczeństwa Salesforce
• Biuletyn miesięczny – maj 2026
• Kwartalne spostrzeżenia dotyczące zagrożeń – I kw. 1 r.
• Co atak na Stryker ujawnia na temat bezpieczeństwa urządzeń medycznych
• Polityki i zabezpieczenia zapewniające bezpieczne korzystanie ze sztucznej inteligencji
• HSCC prezentuje przewodnik po ryzyku i przejrzystości łańcucha dostaw w zakresie sztucznej inteligencji stron trzecich
• Anthropic przedstawia magicznego boga komputerowego 0-day
• Opieka zdrowotna na celowniku: cyberzagrożenia powiązane z Iranem zwiększają ryzyko dla szpitali, technologii medycznych i łańcuchów dostaw opieki zdrowotnej
• Health-ISAC sygnalizuje luki w cyberodporności i reagowaniu na incydenty…